職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー

今回は「職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回まで、高度化・巧妙化するサイバー攻撃の脅威に対して防御側は、その検知ができなくなり、それを覆すために高度な検知機能を持つさまざまなセキュリティ製品を導入したこと。また、それらを使いこなせるリソースがユーザー企業にもベンダーにも乏しく、セキュリティを向上できなかった経緯を述べてきた。

 その結果、せっかくコストをかけて導入したセキュリティ製品を十分に活用できない状況が10年以上も続いた。しかし、2023年現在では、このような状況が皆無とは言わないまでも、かなり改善された。今回は、状況の変化をもたらした政府の「サイバーセキュリティ経営ガイドライン」の公開やその後の状況について述べていく。

 「IT人材やセキュリティ人材が足りない」というアナウンスがしばしなされる。その中でも筆者の記憶に新しいのは、2016年に経済産業省(経産省)が明らかにした「セキュリティ人材が2020年に20万人(資料によると正確には19万3000人)不足する」(資料PDF)というものだ。

 2016年時点で、既に2020年の東京五輪開催が決まっていた。そしてこのアナウンスは、リオデジャネイロ五輪が閉幕した時期と重なる。もちろん、東京五輪はコロナ禍で2021年に延期されたが、ここではあまり関係がない。ポイントは、五輪開催時にどうしても多くなるサイバー攻撃について、その時点で政府が日本のセキュリティ人材や技術者の数では対応できないと発表したということだ。

 五輪のような巨大なイベントは世界中から注目が集まる。そして、そういう時には攻撃者のメリットも高まることが多い。もし、サイバー攻撃で五輪の開催に問題が発生すれば、日本政府の面目にかかわり、場合によっては、人命を含む多くの被害も出る。そのため、絶対に失敗できない政府は、リオデジャネイロ五輪が終わったタイミングで、既に人材が足りない状況であり、かつ「猶予があと4年しかない」と問題提起したのだろう。

 幸いなことに、結果的にセキュリティ担当者や関係各所の皆さんの尽力もあって、東京五輪ではサイバー攻撃に起因する大きな問題や不具合がほとんど発生しなかった。もちろん、見えない部分ではいろいろな問題が起きただろう。しかし、それが大きな問題とならなかったのだから、きちんと対応された成果なのだとも思う。

 しかし、その事実とは別に、この「セキュリティ人材が足りない」という事前の問題提起に対する、当のセキュリティ業界での反応は少々意外なものだった。それは、「育成したセキュリティ人材のキャリアパスをどうするか。それを議論すべきだ」というものだ。

 この話を聞いて、納得感が得られたという人は少ないだろう。なぜなら、人材不足なら仕事がたくさんあるはずで、その分野の技術者を増やせば問題解決になると考えるのが自然だからだ。特にセキュリティ人材がITの各分野の中でも、特に高度な人材としてもてはやされる現状からすると、そのような人材のキャリアパスが論点となることに違和感しかない。

 しかし、実は筆者も当時同じ危機感を持っていた。現実問題として、IT業界の中でもセキュリティ人材は長年にわたって不遇の時代が続いていたからだ。なぜなら、企業経営者などからは「セキュリティなんぞに幾らお金をかけてももうからない。無用なものだ」とされ、育成や活用も進まなかったからだ。

 しかも、これは暴論などではなく、企業経営者にとっては非常に全うな意見であり、正論でもある。もしサイバー攻撃が、ごく一部の運の悪い人だけに起こる現象であったなら、それは正しい。その仮定が正しければ、ほとんどの場合、対策にお金をかけるのは無駄なのだ。

 そのため、当時はよほどの大企業かウェブサービス事業者などでなければ、社内に大勢のセキュリティ技術者を雇用するような状況がほとんど見られなかった。また、セキュリティベンダーであっても、その状況が大きくは違わなかった。企業側に買う意思がなければビジネスにならないからだ。セキュリティ業界は、標的型攻撃に代表されるインシデントの発生などで徐々に拡大してきたものの、あくまで特殊枠のような扱いだった。

 つまりセキュリティ業界は、2010年代半ばまで、大きなITの中の1つの特殊な分野にとどまっていたのだ。だから政府が「2020年に20万人のセキュリティ人材が不足する」と言っても、セキュリティ業界では、育成された人材によって業界が一気に拡大するという楽観的な予想をしていた人がほとんどいなかった。

元記事: https://japan.zdnet.com/article/35203610/
IT関連 #セキュリティ #企業セキュリティの歩き方

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Facebook Messengerが絵文字機能を強化、サウンド付きも
ネットサービス
2021-07-24 13:37
シスコ、第4四半期決算は予想をわずかに上回る–半導体不足の影響続く見通し
IT関連
2021-08-20 17:56
大阪府とSAPジャパン、包括連携協定を締結–府民へのサービス向上などを支援
IT関連
2021-01-27 14:49
Fastly、JavaScriptをWebAssemblyへコンパイルし、CDNエッジで瞬時に起動。サーバレス環境「Compute@Edge」の新機能を発表
Fastly
2021-07-27 12:54
GitHubが考える開発へのAI活用–「2025年の崖」への対応や日本の立ち位置
IT関連
2024-05-17 18:06
Windows 11に無料アップデートできるのはどれ? Lenovoが現行の対応モデル公開
企業・業界動向
2021-06-26 06:36
インテルCEO、半導体と地政学を語る–次の50年は「工場がどこにあるか」が重要
IT関連
2022-10-26 06:40
フェイスブックが一部の著名人ページでツイッターのような「スレッド」機能をテスト中と認める
ネットサービス
2021-07-05 01:22
日立と積水化学、再生材活用の支援システムを開発–2025年度の事業化を目指す
IT関連
2024-06-07 01:21
ワクチン証明書、当初は紙で デジタル化も検討
IT関連
2021-06-20 22:23
NASAや核融合炉など、HPEが実践するデータ活用プロジェクト
IT関連
2022-12-29 21:50
積水ハウスと日本IBM、「持続可能なIT開発運用体制の構築」に向けて戦略的連携
IT関連
2023-10-04 21:54
みずほFG、「テックタッチ」導入でSaaSの課題を解消–入力サポートでマニュアルレス
IT関連
2025-01-11 04:51
成長株投資入門(その4):東証マザーズ・グロース株投資の鉄則
IT関連
2021-06-10 22:01